Prevent timing attack for single-user password check 漏洞信息(CVE-2024-0436)

一、漏洞 CVE-2024-0436 基础信息

漏洞标题

防止针对单用户密码检查的定时攻击

来源：AIGC 神龙大模型

漏洞描述信息

从理论上讲，如果使用的是单用户密码保护模式，并考虑到比较过程中使用的'!== '具有线性性质，攻击者理论上有可能通过时间攻击暴力破解实例的密码。然而，这种风险被请求本身的额外开销所抵消，请求的开销以非恒定的方式变化，这使得攻击执行起来可靠性更低。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

通过差异性导致的信息暴露

来源：AIGC 神龙大模型

漏洞标题

Prevent timing attack for single-user password check

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Theoretically, it would be possible for an attacker to brute-force the password for an instance in single-user password protection mode via a timing attack given the linear nature of the `!==` used for comparison. The risk is minified by the additional overhead of the request, which varies in a non-constant nature making the attack less reliable to execute

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

关键资源的多重加锁

来源：美国国家漏洞数据库 NVD

漏洞标题

AnythingLLM 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

AnythingLLM是符合业务要求的文档聊天机器人。 AnythingLLM 存在安全漏洞，该漏洞源于密码检查不足。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-0436 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2024-0436 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-0436 的公开POC

三、漏洞 CVE-2024-0436 的情报信息

一、漏洞 CVE-2024-0436 基础信息